Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Datenschutz Update Juli 2021

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Datenschutz Update Juli 2021

  1. 1. Rev. Stand 3.0 13. Juli 2021, 10.00 – 12.00 Uhr Webinar Datenschutz Update – Aktuelle Entwicklungen Inhaltlicher Stand: 07.07.2021 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Angemessenheitsbeschluss UK 2. Neue Standardvertragsklauseln 3. Schadensersatz (Art. 82 DSGVO) 4. DSK-News Agenda 3
  4. 4. Rev. Stand 3.0 1. Angemessenheitsbeschluss UK 2. Neue Standardvertragsklauseln 3. Schadensersatz (Art. 82 DSGVO) 4. DSK-News Agenda 4
  5. 5. Rev. Stand 3.0 Angemessenheitsbeschluss UK 5 zum 01.01.2021 • EU-Austritt / Brexit bis 30.04.2021 • UK kein unsicheres Drittland gem. „Brexit- Abkommen“ bis 30.06.2021 • Verlängerung des status quo gem. „Brexit- Handelsabkommen“ ab 01.07.2021 • UK = unsicheres Drittland seit 28.06.2021 • Angemessenheitsbeschluss für UK in Kraft
  6. 6. Rev. Stand 3.0  eigentlich 2 Beschlüsse  für „normale“ Datenverarbeitungen (DSGVO)  für Strafverfolgung etc. (vgl. JI-Richtlinie*) * Richtlinie vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung Angemessenheitsbeschluss UK 6
  7. 7. Rev. Stand 3.0  und was bedeutet das jetzt? Angemessenheitsbeschluss UK 7
  8. 8. Rev. Stand 3.0 Angemessenheitsbeschluss UK 8 Datenverarbeitung Vertragserfüllung vorvertragliche Maßnahmen Erfüllung gesetzl. Pflichten lebenswichtige Interessen Ausübung öffentl. Gewalt berechtigte Interessen Einwilligung Datenübermittlung innerhalb EU / EWR Drittstaat mit Angemessenheitsb. Drittstaat ohne Angemessenheitsb.
  9. 9. Rev. Stand 3.0 Angemessenheitsbeschluss UK 9 Quelle: www.bpb.de/nachschlagen/lexika/lexikon-in-einfacher-sprache/286912/eu-mitgliedstaaten - 27 EU-Mitgliedsstaaten, inzwischen ohne UK (Stand: 07/2021) - EWR = EU + Island, Lichtenstein & Norwegen
  10. 10. Rev. Stand 3.0 Angemessenheitsbeschluss UK 10 Drittstaaten mit Angemessenheitsbeschluss (Stand: 07/2021): - Andorra - Argentinien - Kanada - Färöer Inseln - Großbritannien (gültig seit 1. Juli 2021) - Guernsey - Israel - Isle of Man - Japan - Jersey - Neuseeland - Schweiz - Uruguay - geplant: Republik Süd-Korea - weggefallen: USA (gem. „Schrems II“-Urteil des EuGH v. 16.07.2020) Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
  11. 11. Rev. Stand 3.0 Angemessenheitsbeschluss UK 11 angem. Datenschutzniveau in unsicherem Drittstaat? „neue“ EU- Standardvertragsklauseln Risikoanalyse (Transfer Impact Assessment) zusätzl. Garantien … ?
  12. 12. Rev. Stand 3.0 1. Angemessenheitsbeschluss UK 2. Neue Standardvertragsklauseln 3. Schadensersatz (Art. 82 DSGVO) 4. DSK-News Agenda 12
  13. 13. Rev. Stand 3.0  Standardvertragsklauseln = Standard contractual clauses (SCC)  neue Fassung seit dem 4. Juni 2021 beschlossen  Standarddatenschutzklauseln? Standardvertragsklauseln 13
  14. 14. Rev. Stand 3.0 Standardvertragsklauseln 14 Standard- datenschutzklauseln Standard- vertragsklauseln Norm Art. 46 Abs. 2 lit. c, d Art. 28 Abs. 7, 8 Zweck Datenübermittlung in Drittland ohne angemessenes Datenschutzniveau Datenübermittlung innerhalb der EU; einheitliche Regeln für Verträge zwischen Verantwortlichen und Auftragsverarbeitern Begrifflichkeit gem. Beschl. der EU- Kommission   verpflichtend?  
  15. 15. Rev. Stand 3.0  inzwischen einheitliche Nutzung des Begriffs „SCC“  falsche / ungenaue Bezeichnung unerheblich  aber: inhaltlich zu differenzieren zwischen…  Standardbedingungen für Drittlandübermittlungen  (optionale) Musterverträgen für Auftragsverarbeitungen innerhalb der EU Standardvertragsklauseln 15
  16. 16. Rev. Stand 3.0 Standardvertragsklauseln 16 bis 26.09.2021 • Vereinbarung alter SCC zulässig ab 27.12.2022 • alte SCC verlieren Gültigkeit ab 01.01.2023 • neue SCC verpflichtend Tipp: schon ab sofort neue SCC abschließen
  17. 17. Rev. Stand 3.0 Standardvertragsklauseln 17 SCC-Konstellationen Verantwortlicher -> Verantwortlicher (C2C) Verantwortlicher –> Auftragsverarbeiter (C2P) Auftragsverarbeiter –> (Unter-) Auftragsverarbeiter (P2P) Auftragsverarbeiter –> Verantwortlicher (P2C)
  18. 18. Rev. Stand 3.0  SCC…  dürfen nicht verändert werden  haben Vorrang vor anderen Vereinbarungen  können als individueller Vertrag oder als AGB- Bestandteil vereinbart werden  setzen eine Datenübermittlungs-Folgenabschätzung voraus Standardvertragsklauseln 18
  19. 19. Rev. Stand 3.0 Standardvertragsklauseln 19 Modul Inhalt Abschnitt I allg. Regelungen Abschnitt II Pflichten der Vertragsparteien, spez. Regelungen für Transferkonstellation Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des Datenimporteurs Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln, anwendbares Recht) Anhang I Details zu Vertragsparteien, Daten, zust. Aufsichtsbehörden, Übermittlungskonstellation Anhang II Beschreibung der TOMs Anhang III ggf. Angaben zu weiteren (Unter-) Auftragnehmern
  20. 20. Rev. Stand 3.0  Datenübermittlungs-Folgenabschätzung = Data Transfer Impact Assessment oder kurz: (D)TIA  vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer Prüfung des Bestimmungsdrittlands auf Grundlage spezifischer Umstände der Rechtsordnung des Drittlandes“  Datenexporteur muss sich davon überzeugen, dass Datenimporteur seinen SCC-Pflichten nachkommen kann und nicht durch lokale Gesetze daran gehindert wird (vgl. z.B. CLOUD Act oder FISA in den USA) Standardvertragsklauseln 20
  21. 21. Rev. Stand 3.0  insbesondere bei TIA zu berücksichtigen:  die Zwecke der Verarbeitung  Kategorien & Format der personenbezogenen Daten  Länge der Verarbeitungskette & Anzahl der beteiligten Akteure  Übertragungskanäle & beabsichtigte Datenweiterleitungen  tatsächliche Umstände der Übermittlung, z.B. ob Daten im Drittland gespeichert werden oder es lediglich zu Zugriffen aus dem Drittland kommt  alle relevanten vertraglichen, technischen oder organisatorischen Garantien & angewandte Maßnahmen Standardvertragsklauseln 21
  22. 22. Rev. Stand 3.0 Standardvertragsklauseln 22 1. Bestandsaufnahme • know your transfers • einschl. Auftragnehmer + ggf. Unterauftragnehmer • Differenzierung nach Übermittlungsland • auch Cloud-Dienste, Remote- Zugriff etc. 2. Grundlage • innerhalb EU / EWR? • Angemessenheitsbeschluss? • SCC + zusätzl. Maßnahmen? • in Einzelfällen: Art. 49 Abs. 1 (z.B. Einwilligung, Vertrags- erfüllung…) 3. TIA (SCC) • Ermittlung möglicher Risiken im Drittland • Risikoabwägung • Umsetzung • Dokumentation 4. Konstellation • C2C? • C2P? • P2P? • P2C?
  23. 23. Rev. Stand 3.0  Bsp. zusätzlicher Maßnahmen*  vertraglich  organisatorisch  technisch  Verschlüsselung  Pseudonymisierung  Anonymisierung  … * EDSA: „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (https://edpb.europa.eu/sites/default/files/consultation/edpb_ recommendations_202001_supplementarymeasurestransferstools_de.pdf) Standardvertragsklauseln 23
  24. 24. Rev. Stand 3.0 1. Angemessenheitsbeschluss UK 2. Neue Standardvertragsklauseln 3. Schadensersatz (Art. 82 DSGVO) 4. DSK-News Agenda 24
  25. 25. Rev. Stand 3.0 Schadensersatz 25 datenschutzrechtliche Sanktionen Bußgeld (o.a. Maßnahmen von Aufsichtsbehörden) Schadensersatz Schmerzensgeld Abmahnung?
  26. 26. Rev. Stand 3.0  Art. 82 Abs. 1  „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Schadensersatz 26
  27. 27. Rev. Stand 3.0  Art. 82 Abs. 2  „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“ Schadensersatz 27
  28. 28. Rev. Stand 3.0  Art. 82 Abs. 3  „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Schadensersatz 28
  29. 29. Rev. Stand 3.0  Art. 82 Abs. 4  „Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“  -> Differenzierung zwischen Außen- & Innenverhältnis Schadensersatz 29
  30. 30. Rev. Stand 3.0  Voraussetzungen Ersatzanspruch  Sachverhalt: dezidierte Angaben zur Verletzung & den betroffenen personenbezogenen Daten  Verstoß: (gerichtlich) festgestellter Verstoß gegen die DSGVO (Pflichtverletzung + haftungsbegründende Kausalität)  Verantwortlichkeit: Ausführungen zur Verantwortlichkeit & zur Frage des Entlastungsbeweises (Art. 82 Abs. 3)  Schadensersatz / Schmerzensgeld: Angaben zur geltend gemachten Höhe des Ersatzanspruchs & zur Frage, worin der genaue Schaden besteht (über den DSGVO-Verstoß hinaus) Schadensersatz 30
  31. 31. Rev. Stand 3.0  Geltendmachung:  Individualklage durch einen Geschädigten  „Zessions-Sammelklage“, d.h. Dienstleister lassen sich Ansprüche auf Schadensersatz abtreten und machen diese gegen Provision auch gerichtlich geltend (umstr.)  Musterfeststellungsklage, d.h. bestimmte Verbände (z.B. Verbraucherzentrale) können Musterprozess führen (die daran Beteiligten müssen im Nachgang jeweils ihre individuellen Ansprüche separat geltend machen)  EU-Verbandsklage („DSGVO-Sammelklage“), d.h. bestimmte Verbände (z.B. Verbraucherzentrale) können konkrete Ansprüche von vielen „Geschädigten“ für diese geltend machen (ab frühestens zum 01.01.2023) Schadensersatz 31
  32. 32. Rev. Stand 3.0 Schadensersatz 32  Anspruch bejaht  Anspruch verneint ArbG Münster, Urt. v. 25.03.2021, Az. 3 Ca 391/20 (5.000,-) OLG Stuttgart, Urt. v. 31.03.2021, Az. 9 U 34/21 LG Meiningen, Urt. v. 23.12.2020, Az. 3 O 363/20 (10.000,-) ArbG Mannheim, Urt. v. 25.03.2021, Az. 8 Ca 409/20 AG Hildesheim, Urt. v. 05.10.2020, Az. 43 C 145/19 (800,-) LArbG Baden-Württemberg, Urt. v. 25.02.2021, Az. 17 Sa 37/20 LArbG Köln, Urt. v. 14.09.2020, Az. 2 Sa 358/20 (300,-) LG Karlsruhe, Urt. v. 09.02.2021, Az. 4 O 67/20 ArbG Dresden, Urt. v. 26.08.2020, Az. 13 Ca 1046/20 (1.500,-) LG Landshut, Urt. v. 06.11.2020, Az. 51 O 513/20 ArbG Neumünster, Urt. v. 11.08.2020, Az. 1 Ca 247 c/20 (1.500,-) LG Köln, Urt. v. 07.10.2020, Az. 28 O 71/20 LG Lüneburg, Urt. v. 14.07.2020, Az. 9 O 145/19 (1.000,-) LG Frankfurt a.M., Urt. v. 18.09.2020, Az. 2- 27 O 100/20 LG Darmstadt, Urt. v. 26.05.2020, Az. 13 O 244/19 (1.000,-) LG Hamburg, Urt. v. 04.09.2020, Az. 324 S 9/19 AG Pforzheim, Urt. v. 25.03.2020, Az. 13 C 160/19 (4.000,-) LG Frankfurt a.M., Urt. v. 03.09.2020, Az. 2- 03 O 48/19 ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18 (5.000,-) OLG Dresden, Urt. v. 20.08.2020, Az. 4 U 784/20 ArbG Lübeck, Beschl. v. 20.06.2019, Az. 1 Ca 538/19 (1.000,-) LG Karlsruhe, Urt. v. 02.08.2019, Az. 8 O 26/19 exemplarische Auswahl einiger Entscheidungen
  33. 33. Rev. Stand 3.0 1. Angemessenheitsbeschluss UK 2. Neue Standardvertragsklauseln 3. Schadensersatz (Art. 82 DSGVO) 4. DSK-News Agenda 33
  34. 34. Rev. Stand 3.0  DSK-Protokoll der 101. Konferenz (April 2021)  Aufsichtsbehörden konzentrieren sich bei der Prüfung von Windows 10 erstmal auf den öffentlichen Bereich  Erstellung & Veröffentlichung der Orientierungshilfe zu den Anforderungen der E-Mail-Verschlüsselung  Umsetzung der „Schrems II“-Entscheidung des EuGH (-> Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten) DSK-News 34
  35. 35. Rev. Stand 3.0  DSK-Orientierungshilfe „E-Mail-Verschlüsselung“ (16.06.2021)  E-Mails müssen nicht grdsl. verschlüsselt werden  Unterscheidung zwischen Transport- (TLS) & Inhalts- verschlüsselung (E2EE)  Abwägung der Rechte des Verantwortlichen und der Betroffenen unter Berücksichtigung u.a. des aktuellen Stands der Technik (vgl. Art. 32)  bei rein organisatorischen Abstimmungen (z.B. Terminabsprachen) reicht Transportverschlüsselung, bei Versand sensibler Daten (vgl. Art. 9, 10) müssen auch Inhalte verschlüsselt werden (S/MIME, PGP…) -> Risikoabwägung  Sorgfaltspflicht bei Auswahl des E-Mail-Hosters (Anforderungen der TR 03108-1 des BSI beachten)  DSK-Arbeitsgruppe: ob und inwieweit können Betroffene auf eigenen Wunsch auf TOMs nach Art. 32 verzichten? (vgl. z.B. Berufsrecht der Anwälte) DSK-News 35
  36. 36. Rev. Stand 3.0  Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten:  Pressemitteilung vom 02.06.2021*  Fragenkataloge an…  Bewerberportale  Konzerne (konzerninterner Datenverkehr)  Mailhoster  Webhoster  Nutzer von Tracking-Tools * z.B. www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung- internationaler-datentransfers DSK-News 36

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×